Включение и запрос JIT-доступа для Управляемых приложений Azure

Потребители управляемого приложения могут неохотно предоставлять вам постоянный доступ к управляемой группе ресурсов. Как издатель управляемого приложения вы можете сделать так, чтобы потребители точно знали, когда вам необходим доступ к управляемым ресурсам. Чтобы потребители могли лучше контролировать предоставление доступа к управляемым ресурсам, в Управляемых приложениях Azure предусмотрена функция, именуемая JIT-доступом.

JIT-доступ позволяет запрашивать доступ с повышенными привилегиями к ресурсам управляемого приложения для устранения неполадок или обслуживания. Вы всегда имеете доступ к ресурсам только для чтения, но на определенный период времени у вас может быть доступ более высокого уровня.

Рабочий процесс для предоставления доступа:

1. Вы добавляете управляемое приложение в marketplace и указываете, что возможен JIT-доступ.

2. Во время развертывания потребитель включает JIT-доступ для этого экземпляра управляемого приложения.

3. После развертывания потребитель может изменить параметры JIT-доступа.

4. Вы отправляете запрос на доступ, когда вам требуется устранить неполадки или обновить управляемые ресурсы.

5. Потребитель утверждает ваш запрос.

В этой статье основное внимание уделяется действиям издателей для включения JIT-доступа и отправки запросов. Об утверждении запросов на JIT-доступ см. статье Утверждение JIT-доступа в Управляемых приложениях Azure.

Добавление шага JIT-доступа в пользовательский интерфейс

В файле CreateUiDefinition.json вставьте шаг, позволяющий потребителям включать JIT-доступ. Чтобы обеспечить поддержку JIT-функции для вашего предложения, добавьте следующее содержимое в файл CreateUiDefinition.json.

В разделе "steps":

JSON

{
  "name": "jitConfiguration",
  "label": "JIT Configuration",
  "subLabel": {
    "preValidation": "Configure JIT settings for your application",
    "postValidation": "Done"
  },
  "bladeTitle": "JIT Configuration",
  "elements": [
    {
      "name": "jitConfigurationControl",
      "type": "Microsoft.Solutions.JitConfigurator",
      "label": "JIT Configuration"
    }
  ]
}

В разделе "outputs":

JSON

"jitAccessPolicy": "[steps('jitConfiguration').jitConfigurationControl]"

Включение JIT-доступа

При создании предложения в Центре партнеров убедитесь, что JIT-доступ включен.

1. Войдите на портал коммерческой платформы в Центре партнеров.

2. Инструкции по созданию нового управляемого приложения см. в разделе Создание предложения для приложения Azure.

3. На странице Техническая конфигурация установите флажок Включить JIT-доступ.

   

Вы добавили шаг конфигурации JIT в пользовательский интерфейс и включили JIT-доступ в предложении коммерческой платформы. Когда потребители развертывают управляемое приложение, они могут включить JIT-доступ для своего экземпляра.

Запрос на доступ

Если вам нужен доступ к управляемым ресурсам потребителя, вы отправляете запрос на определенную роль, время и длительность. Потребитель должен утвердить этот запрос.

Чтобы отправить запрос на JIT-доступ, выполните следующие действия.

1. Выберите JIT-доступ для управляемого приложения, к которому необходимо получить доступ.

2. Выберите Подходящие роли и щелкните Активировать в столбце ДЕЙСТВИЕ для нужной роли.

   

3. В форме Активация роли выберите время начала и длительность активации роли. Щелкните Активировать, чтобы отправить запрос.

   

4. Просмотрите уведомления, чтобы убедиться, что новый JIT-запрос успешно отправлен потребителю.

   

   Теперь необходимо подождать, пока потребитель утвердит ваш запрос.

5. Чтобы просмотреть состояние всех JIT-запросов для управляемого приложения, выберите JIT-доступ и Журнал запросов.

   

Известные проблемы

ИДЕНТИФИКАТОР субъекта учетной записи, запрашивающей JIT-доступ, необходимо явно добавить в определение управляемого приложения. Учетную запись нельзя добавить только через группу, указанную в пакете. Это ограничение будет снято в будущих выпусках.

Следующие шаги

Об утверждении запросов на JIT-доступ см. статье Утверждение JIT-доступа в Управляемых приложениях Azure.